Suche
Mein Konto
网络风险不断上升:为什么公司尽管有预算却还是失败了
研究表明:尽管对网络安全的投资很高,但风险仍然没有改变。企业必须重新思考。
网络风险不断上升:为什么公司尽管有预算却还是失败了
当今的企业面临着日益增长的网络风险威胁。尽管增加了对网络安全的投资,但研究表明许多组织仍然对这些风险准备不足。作为 2025 年网络风险状况研究的一部分,Qualys 和 Dark Reading 的最新研究揭示了令人震惊的趋势,需要转变网络安全方法。
接受调查的 100 多名 IT 和安全领导者中的大多数表示,他们的网络风险要么正在增加,要么保持不变。特别令人担忧的是,只有 49% 的组织制定了正式的网络风险计划,其中只有 30% 的组织根据业务目标对风险进行优先级排序。这意味着很大一部分公司无法有效地调整其安全策略以适应真实的业务环境。
缺乏业务重点
研究作者强调的主要问题是网络安全缺乏商业背景。公司倾向于将安全方面主要视为成本因素,而不考虑与业务相关的影响。负责人的合格反馈清楚地表明,只有 14% 的人能够将其网络风险报告与财务关键数据联系起来。安全和财务团队之间明显的沟通差距阻碍了有效的风险管理。
此外,大多数组织无法持续盘点其资产。只有 13% 使用自动化流程,而 47% 使用手动方法。在这种情况下,网络风险及其影响的清晰可追溯性至关重要。组织必须从战略上重新考虑其安全投资,并从技术重点转向与业务相关的方法,以确保有效的风险管理。
降低风险的战略方法
为了应对这一挑战,Qualys 提出了“风险运营中心”(ROC) 的概念,作为一种有前途的解决方案。该模型旨在将技术信息转化为与业务相关的指标,帮助管理层做出明智的决策。实施 ROC 模型的公司可以显着改进其风险评估和缓解策略。
此外,怡安的一份报告强调了网络安全战略方法的重要性。公司面临着通过对威胁形势和自身业务模式进行全面分析来管理网络风险的压力。 “安全投资回报率”(ROSI) 等系统框架使组织能够根据明确的标准评估其安全投资,并在坚实的数据基础上进行财务讨论。
实施 ROSI 的五个步骤
为了成功实施 ROSI 框架,企业应考虑以下步骤:
- Das Geschäftsmodell besser verstehen.
- Schlüsselressourcen identifizieren.
- Grundlagen wie Endpunktschutz schaffen.
- Szenario-Plan erarbeiten.
- Risiken quantifizieren und entsprechende Kontrollen identifizieren.
此外,为了制定有效的安全策略,公司必须针对有关其网络风险管理的重要问题设计具体的答案。数据驱动的方法最终会带来更好的网络防御效果,并显着提高组织抵御网络威胁的能力。
鉴于巨大的发展,当今的公司必须确保其网络安全策略不仅在技术上合理,而且与业务目标紧密结合。有效连接网络安全和业务增长可能是缓解当前网络风险的关键。